Das Vereinigte Königreich ist kein datenschutzrechtliches Drittland – erstmal. Das am Samstag veröffentlichte Abkommen hat den harten Brexit abgewendet (vorbehaltlich der noch nötigen Ratifizierungen) und auch verhindert, dass ab 1. Januar Großbritannien zum Drittland ohne Angemessenheitsbeschluss und damit mit erheblichem Mehraufwand für die Datenübertragung wird. Die Lösung ist aber nur eine vorläufige – und zumindest Anwender*innen des KDG stehen doch noch vor Problemen.
»For the duration of the specified period, transmission of personal data from the Union to the United Kingdom shall not be considered as transfer to a third country under Union law«, lautet der Schlüsselsatz aus dem Artikel FINPROV.10A (S. 414) des Abkommens. Das gilt bis zu einem Angemessenheitsbeschluss, wenn es keinen gibt zunächst für vier Monate und danach zwei weitere Monate, wenn keine Vertragspartei widerspricht. (Abs. 4) Ein halbes Jahr ab Inkrafttreten des Abkommens ist damit die Datenübertragung noch ohne Probleme möglich – auch nach kirchlichem Datenschutzrecht. Dann braucht es auf jeden Fall einen Angemessenheitsbeschluss, soll das Vereinigte Königreich nicht zum ganz normalen Drittland werden.
Die gute Nachricht vorweg: Die Regelung, dass UK-Datenübertragungen erstmal keine Drittlandtransfers sind, macht vieles einfacher – damit greifen nämlich die entsprechenden Normen zur Datenübermittlung an und in Drittländer (§ 10 DSG-EKD, § 39 KDG) wohl nicht, schließlich findet de jure kein Drittlandtransfer statt, es geht weiter wie bisher. [Ergänzung, 28. Dezember 2020](Die Datenschutzkonferenz hat für den weltlichen Bereich nun auch explizit mitgeteilt, dass während der Übergangsfrist zunächst alles wie bisher weitergeht.)[/Ergänzung]
Nach evangelischem Datenschutzrecht sollte damit auch schon alles klar sein. Nach katholischem gibt es noch Fragezeichen – wie so oft macht § 29 Abs. 11 KDG Probleme. Dort ist geregelt, dass Auftragsverarbeitung »nur innerhalb der Mitgliedstaaten der Europäischen Union oder des Europäischen Wirtschaftsraums« stattfinden darf; und das ist Großbritannien auch mit der Fiktion des Nicht-Drittlands (zumindest dem eng ausgelegten Wortlaut nach) nicht. Mit Ablauf des 31. Dezember 2020 verlässt das Vereinigte Königreicht den Europäischen Wirtschaftsraum – und damit dürfte Auftragsverarbeitung nach dem KDG dort nicht mehr stattfinden. (Man könnte natürlich behaupten, dass »Mitgliedsstaat« als »Nicht-Drittland« interpretiert werden könnte, und wäre wieder fein raus.)
Mit einem Angemessenheitsbeschluss wäre die Verarbeitung wieder zulässig, ebenso wenn eine Datenschutzaufsicht ein angemessenes Schutzniveau feststellen würde (das sollten die katholischen Aufsichten zumindest für die Übergangszeit tun; die staatlichen haben dafür keinen Bedarf). Ohne diese beiden Möglichkeiten bliebe UK-Auftragsverarbeitung dauerhaft unmöglich; andere Instrumente wie Standardvertragsklauseln stehen dafür gemäß KDG (anders als nach dem DSG-EKD) nicht zur Verfügung.
Was es jetzt zu tun gilt
Wahrscheinlich kommt es zu einem Angemessenheitsbeschluss – sicher ist das aber nicht. Zwar wendet Großbritannien die DSGVO an, die sie wie das andere EU-Recht in nationales Recht überführt hat. Mit Blick auf Schrems II und die umfassenden Überwachungsaktivitäten der UK-Geheimdienste in Zusammenarbeit mit den USA könnte es aber doch zu Problemen kommen.
Daher empfiehlt es sich, für den schlimmsten Fall einen Plan B vorzubereiten, wie es ohne Angemessenheitsbeschluss nach den sechs Monaten Übergangszeit weitergehen kann: Für Datenverarbeitung nach dem DSG-EKD hat der EKD-Datenschutzbeauftragte für den harten Brexit bereit 2019 auf Standardvertragsklauseln hingewiesen. Die katholischen Aufsichten haben ebenfalls 2019 (ohne Erwähnung von § 29 Abs. 11 KDG) ein Informationsblatt mit einer kleinen Checkliste veröffentlicht – solange sie sich aber nicht zu Auftragsverarbeitung äußern, ist die vorerst für KDG-Anwender*innen ab 1. Januar nicht mehr möglich. [Ergänzung, 29. Dezember 2020]Die KDSA Nord hat zwar eine aktuelle Meldung auf ihre Seite gestellt, leider nur mit Verweis auf das Papier aus 2019 – ohne auf die Frage nach der Auftragsverarbeitung einzugehen. [/Ergänzung]